<!--{
	"Title": "Go 安全策略",
	"Path":  "/security"
}-->

<h2>策略实施</h2>

<h3>报告安全漏洞</h3>

<p>
如您发现任何问题，请向我们报告。
本文档描述了具体报告流程和答复信息。
</p>

<p>
Go 发行版中的所有安全漏洞均应通过邮件发送至<a href="mailto:security@golang.org">security@golang.org</a>，该邮件会传送至某小型安全团队。
您的邮件将在24小时内得到确认，并在72小时内收到更详细的回复，在其中会指明处理漏洞的后续流程。
</p>

<p>
为防止您的报告被当作垃圾邮件，请在邮件中任意处添加“vulnerability”一词，同时，邮件请使用描述性标题。
</p>

<p>
在对您的报告进行初次答复后，安全团队将尽可能地确保您知晓有关漏洞修复及完整公告的进展情况。这些更新信息将至少每五天发送一次。实际上，更有可能是每24-48小时就发送一次。
</p>

<p>
若您在48小时内未收到回复，或者在过去五天内没有收到安全团队的通知，请直接与Go安全团队联系：
</p>

<ul>
<li>首席安全协调员： <a href="mailto:filippo@golang.org">Filippo Valsorda</a>。</li>
<li>副安全协调员： <a href="mailto:agl@golang.org">Adam Langley</a>。</li>
<li>若您未收到回复，请向<a href="mailto:golang-dev@googlegroups.com">golang-dev@googlegroups.com</a>发送邮件，或者使用<a href="https://groups.google.com/forum/#!forum/golang-dev">golang-dev Web页面</a>。</li>
</ul>

<p>
请注意，golang-dev 是一个公开论坛，请不要透露具体信息，只需声明您正在尝试联系安全团队成员即可。
</p>

<h3>将现有 issues 标记为与安全相关</h3>

<p>若您确定某个现存的 <a href="https://golang.org/issue">issue</a> 有安全漏洞，请发送邮件至<a href="mailto:security@golang.org">security@golang.org</a>。邮件需要包含 issue 号和简短的说明，说明为什么要根据安全策略进行处理。
</p>

<h3>安全相关问题的披露流程</h3>

<p>Go 使用以下披漏流程：</p>

<ol>
<li>收到漏洞报告后，为其分配一个主理人，他负责协调漏洞修复和发布。</li>
<li>确认该漏洞，并列出受其影响的软件。</li>
<li>审核代码以找出任何类似的潜在漏洞。</li>
<li>与代码提交人员协商后，若需要一个 CVE-ID 号，则主理人向 <a href="https://oss-security.openwall.org/wiki/mailing-lists/distros">oss-distros</a> 发送邮件获取。</li>
<li>为最近的两个主要发行版和 head/master 版本准备了修复程序，但这些补丁尚未提交到公共仓库。</li>
<li>向<a href="https://groups.google.com/group/golang-announce">golang-announce</a>邮件列表发送通知，以使下游用户有时间对其系统进行更新。</li>
<li>此通知三个工作日后，补丁将提交到<a href="https://go.googlesource.com/go">公共仓库</a>，并发布新的 Go 版本。</li>
<li>在应用补丁当日，发送通知到
<a href="https://groups.google.com/group/golang-announce">golang-announce</a>，
<a href="https://groups.google.com/group/golang-dev">golang-dev</a>，和
<a href="https://groups.google.com/group/golang-nuts">golang-nuts</a>。
</ol>

<p>
整个过程可能需要一些时间，尤其是在协调过程涉及到其他项目维护人员时。我们将尽一切努力尽快修复该漏洞，但请务必遵循上述流程，以确保披漏流程的一致。
</p>

<p>对于安全问题，包括 CVE-ID 号的分配，具体情况列于<a href="https://www.cvedetails.com/vulnerability-list/vendor_id-14185/Golang.html"> CVEDetails 网站上的 "Golang" 项目</a>及<a href="https://web.nvd.nist.gov/view/vuln/search"> 国家漏洞公开网站 </a>。
</p>

<h3>接收安全更新</h3>

<p> 最高效获取安全通知的方法是订阅<a href="https://groups.google.com/forum/#!forum/golang-announce">golang-announce</a>邮件列表，任何涉及安全问题的信息都将带有<code>[security]</code>前缀。
</p>

<h3>意见和建议</h3>

<p>
如果您有任何改进此策率的意见和建议，请发送电子邮件至<a href="mailto:golang-dev@golang.org">golang-dev@golang.org</a>。
</p>

<h3>用于向<a href="mailto:security@golang.org">security@golang.org</a>发送邮件的 PGP 密钥</h3>

<p>
我们接受 PGP 加密电子邮件，但大多数安全团队并不常用 PGP，这多少有些不便，因此请仅将 PGP 用于重要的安全报告邮件。
</p>

<pre>
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=Nx85
-----END PGP PUBLIC KEY BLOCK-----
</pre>
